5 Ethernet PON
5.5 Problemi di sicurezza
La sicurezza non è mai stato un punto di forza delle reti Ethernet. Nei collegamenti full-duplex punto-punto, la sicurezza non è un problema critico perché ci sono solo due stazioni comunicanti tramite un canale privato. Nella Ethernet half-duplex condivisa le preoccupazioni riguardanti la sicurezza sono minime, poiché gli utenti appartengono ad un unico dominio amministrativo e sono tutti soggetti allo stesse regole.
L'EPON, comunque, ha un diverso insieme di requisiti, soprattutto a causa
dell'utilizzo a cui è destinato: offre servizi ad utenti privati, ma ha un canale downstream di tipo broadcast. In generale, per assicurare la sicurezza nella EPON, l'operatore di rete dovrebbe essere capace di garantire la privacy degli utenti, e dovrebbe fornire dei
Per l'ambiente d'accesso residenziale, l'utente s'aspetta che le proprie informazioni rimangano private e, per l'ambito lavorativo, questo è un aspetto fondamentale. I due maggiori problemi associati con la mancanza di sicurezza sono la predisposizione
dell'utente ad essere intercettato dal vicino (un problema degli utenti), e la predisposizione del theft-of-service, che è invece un problema del provider.
5.5.1 Intercettazione
Nelle EPON, è possibile intercettare il traffico tramite una ONU operante in
modalità promiscua (promiscuous mode): essendo esposta a tutto il traffico di downstream, tale ONU può captare tutto il traffico destinato alle altre. L'emulazione punto-punto
aggiunge il link ID che permette alla ONU di riconoscere i frame destinati a loro e filtrare/scartare gli altri, ma è anche vero che tale meccanismo non offre una sicurezza adeguata, visto che il filtraggio può essere disabilitato e tutto il traffico può diventare visibile.
Il traffico upstream è invece relativamente più sicuro, poiché viene multiplexato ed è visibile solo dalla OLT (dovuto alla direttività dei combiner passivi). Sebbene nei combiner passivi possano avvenire riflessioni, la trasmissione downstream avviene in una lunghezza d'onda diversa della trasmissione upstream, e quindi le ONU sono “cieche” dal traffico riflesso che non viene elaborato dai circuiti di ricezione. Il traffico upstream può venir comunque intercettato dagli splitter o combiner. Nelle porte inutilizzate (essendo gli splitter/combiner simmetrici, sono disponibili più porte) potrebbe essere connesso un dispositivo sensibile al traffico upstream, che sarebbe in grado di intercettare tutte le comunicazioni upstream e reindirizzarlo “in downstream”.
5.5.2 Theft-of-service
Il furto di servizio avviene quando un utente impersona un suo vicino, e trasmette frame che non appartengono alla propria connessione. L'OLT ottiene l'identità dell'utente attraverso il link ID inserito da ogni ONU nel preambolo del frame, ma tale link ID può essere falsificato da una ONU malintenzionata durante la trasmissione in upstream. Ovviamente per poter trasmettere nel timeslot dirottato, l'ONU dovrebbe anche essere capace di intercettare i messaggi di Gate destinati alle vittime.
5.5.3 Crittografia
L'intercettazione delle trasmissioni può essere evitata attraverso una chiave di crittografia non condivisa, così da creare un collegamento punto-punto che permetta di comunicare privatamente tra l'OLT e le diverse ONU. In più la crittografia nelle
trasmissioni upstream previene la falsificazione delle ONU: l'informazione in arrivo in una data ONU potrà essere decrittata con una chiave disponibile solo a quella ONU.
La crittografia e la decrittazione possono essere implementate nello strato fisico, data link o negli strati più alti:
• l'implementazione della codifica negli strati superiori cifrerà solo il payload del frame MAC, lasciando gli headers col normale codice. In questa condizione, il MAC in
trasmissione calcolerà l'FCS per il payload crittografato, ed il MAC ricevente verificherà l'integrità del frame ricevuto prima di inviare il payload agli strati superiori per la decrittazione; questo significa che, per quanto si eviterà letture del payload da parte di ONU “malintenzionate”, tali ONU saranno ancora capaci di leggere l'indirizzo MAC.
• in alternativa, la crittografia può venir svolta sotto lo strato MAC, ed in tale
condizione, il “motore crittografico” codificherà l'intero stream di dati, includendo l'header e l'FCS. In ricezione, la decrittazione avverrà prima della verifica FCS, e poiché le chiavi di cifratura sono diverse per ogni ONU, i frame destinati ad altre ONU non verranno
decrittati in maniera corretta e sarà quindi scartato. Questo sistema impedisce qualunque reperimento d'informazione da parte di ONU malintenzionate, e perciò sembra essere il metodo più affidabile.
La trasmissione in downstream della EPON è un canale di comunicazione basato sul frame, in cui ogni frame viene indirizzato a diverse destinazioni. Poichè ogni frame è una parte di informazione indipendente, il metodo di cifratura non può essere di flusso (cifrario a flusso) e la soluzione più appropriata è una cifratura a blocchi, che codifica ogni frame separatamente.
Il campo link ID localizzato in ogni preambolo di frame viene utilizzato per definire il canale tra la OLT ed una ONU (PtPE), ma tale header può anche venir usato come sostegno al meccanismo di cifratura. A questo scopo uno dei byte riservati nell'header verrà usato come identificatore di chiave (key identifier) (figura 5.11) e, basandosi sul valore di questo campo dati, sarà possibile sapere se il frame è criptato e quale chiave è stata utilizzata.
Figura 5.11 Il preambolo del frame con, incorporati, il link ID e la chiave
fa riferimento a tale chiave, per mantenere indefinitamente la sicurezza del canale stabilito viene periodicamente cambiata la chiave di cifratura (re-keying) e, nel caso in cui il frame non dovesse essere stato cifrato, al key identifier verrebbe assegnato un valore di defaut.
Poiché la cifratura a blocchi sfrutta blocchi di dimensione fissa, mentre il frame Ethernet ha una dimensione variabile, le due dimensioni, nella maggioranza dei casi, possono non coincidere. Per risolvere il problema, uno dei metodi è l'utilizzo del bit stuffing per raggiungere la dimensione del blocco richiesta, anche se tale soluzione risulta essere debole per la crittografia.
5.6 10G-EPON
Il 10 Gbit/s Ethernet Passive Optical Network, meglio conosciuto come 10G-EPON, è uno standard avviato nel 2006 e ratificato nel 2009 come standard IEEE 802.3av.
5.6.1 Architettura
L'architettura della Ethernet PON da 10 Gbps si divide in due tipologie: simmetrica ed asimmetrica.
L'architettura simmetrica (10/10G-EPON) supporta canali di trasmissione e
ricezione da 10Gbps. L'idea principale era quella di fornire un'adeguata banda upstream e downstream per le strutture residenziali multi-familiari: una volta installato in
configurazione MDU (multi dwelling unit, unità multi-abitativa), una EPON può connettere fino a 1000 clienti.
sorella simmetrica, in quanto le specifiche si basano su tecnologie già mature. La trasmissione upstream, come specificato nello standard IEEE 802.3ah, è identica al 1G-EPON ed utilizza ricetrasmettitori ottici in modalità burst, mentre la trasmissione in downstream, che sfrutta la modalità continua, si basa su dispositivi Ethernet punto-punto da 10Gbps
5.6.2 Power budget
Lo standard 802.3av definisce vari power budget. Nella tabella sottostante (tabella 5.2) sono mostrati i vari tipi. La sigla PRX indica l'architettura asimmetrica, mentre PR quella simmetrica, mentre il valore rappresenta la sua classe.
tabella 5.2 Power budget del 10G-EPON
5.6.3 Forward error correction
Il 10G-EPON utilizza un meccanismo FEC convoluzionale basato sul
Reed-Solomon(255, 223), obbligatorio per tutti i canali operanti a 10 Gbps, mentre nel caso del
Power Budget Note
PRX10 10,3125 1,25 20 PRX20 10,3125 1,25 24 PRX30 10,3125 1,25 29 PR10 10,3125 10,3125 20 PR20 10,3125 10,3125 24 PR30 10,3125 10,3125 29 Downstream Rate
(Gbps) Upstream Rate (Gbps) Channel Instertion Loss (dB)
Compatibile col power budget PRX10 del 1G-EPON Compatibile col power budget PRX20 del 1G-EPON Compatibile col power budget PRX10 del 1G-EPON Compatibile col power budget PRX20 del 1G-EPON
canale a 1 Gbps (10/1G-EPON) il codice utilizzato è un FEC a blocco che utilizza il Reed-Solomon(255, 239).
5.6.4 Compatibilità
Lo standard 10G-EPON definisce un nuovo strato fisico, mantenendo il più possibile tutti gli strati superiori invariati, così da mantenere la compatibilità delle tecnologie legacy, tipo sistemi di gestione delle reti, sistemi OAM, DBA, scheduling e così via. Viene
posta particolare enfasi il fatto di poter effettuare operazioni simultanee con sistemi PON da 1 Gbps e 10 Gbps nello stesso impianto esterno. Nelle trasmissioni di downstream i canali dei due sistemi sono separati: con una banda di 1480-1500 nm per le trasmissioni da 1Gbps e 1575-1580 nm per le trasmissioni da 10 Gbps, mentre per le trasmissioni upstream la banda si sovrappone: 1260-1360 nm per il canale da 1 Gbps e 1260-1280 per la 10 Gbps. Lo spettro condiviso è quello a bassa attenuazione cromatica, e deve essere diviso nel tempo (dual-rated TDMA)
Varie implementazioni delle OLT possono supportare i due rate di trasmissione, solo per il downstream, solo per l'upstream o in entrambe le direzioni. La tabella 5.3 mostra quali tipi di ONU sono supportate dalle varie implementazioni nelle OLT:
Tabella 5.3 Implementazione e supporto delle OLT dei rate verso le ONU La figura 5.12 illustra l'architettura nel caso di coesistenza delle due reti:
Figura 5.12 Architettura della OLT per la coesistenza della 1G-PON e 10G-PON
Riferimenti
1 J. L. Hammond and P. J. P. O'Reilly. Performance Analysis of Local Computer Networks, Addison Wesley, 1987.
Tipi di ONU supportate Implementazione
delle OLT
Downstream: due lunghezze d'onda; Upstream: rate singolo
(1) 1G-EPON ONU (2) 10/1G-EPON ONU Downstream: singola
lunghezza d'onda; Upstream: dual rate
(1) 10/10G-EPON ONU (2) 10/1G-EPON ONU Downstream: due
lunghezza d'onda; Upstream: dual rate
(1) 1G-EPON ONU (2) 10/1G-EPON ONU (3) 10/10G-EPON ONU